Vampp 2.0.8 Build 311的脱壳(Vbox 4.10)
说明: 一个英文版奶牛育种管理软件
工具: SoftICE 4.05; FrogsICE v1.07.3; ProcDump 1.6.2 Final
下载: http://www.modernagri.com/vampp208.exe
感谢: 看雪及看雪教学上的冰毒和dEZZY的两篇文章
该程序被Vbox 4.10加壳，本人正在学习Vbox 4.30的去壳，学了很长时间，按看雪的教程中的关于Vbox 4.3去壳的两篇文章去做，还是没有把Visual SlickEdit v6.0的壳去掉，感觉就差那么一点点儿，(因为已经看到了教程所述的那几段代码，但程序就是不执行到那)如果哪位高手解了，请贴出来，本人也想学习学习。但从练习Vbox 4.30中也长了不少知识，轻松把Vampp.exe的壳去掉了。闲话少说，开始吧。
1. 运行SoftICE。
2. 运行FrogsICE，除了默认的Options外，还要选中Force int3 hook和Force int3 SEH两项。
3. 运行Vampp.exe。
4. 进入Softice。设断 bpx getprocaddress。
5. F5返回，单击Try Vampp按钮，这时会被Softice拦回。
6. bd *之后，按F12，不多不少，正好4次，其中，第2次时间稍长，至如下代码

:00E33020 FF15A830E300        call [00E330A8]
:00E33026 68FFFFFFFF          push FFFFFFFF
:00E3302B FFD0                call eax      ====> eax的值即为入口点，记下入口点的值：401530
:00E3302D C20C00              ret 000C

7. 执行到E3302B时，修改E3302B，下a e3302b，将call eax，改为jmp eip，F5退出
8. 运行ProcDump，找到Vampp，鼠标右键选择dump full，保存文件名为Vampp1.exe
9. 用Procdump的PE Editor修改Entry Point的值为0001530。OK，保存文件。
10. 试着运行一下程序，已经没有Vbox 4.10的保护了，脱壳成功。
用TRW2000进行脱壳的过程与上面基本类似，也是到上面的代码处(TRW2000在E33020处显示为call Vboxb410!ord_00000001)，至E3302B时，按F8，然后执行PEDUMP即可
我还试了另外的一个被Vbox 4.10加壳的软件，与上面的脱壳流程完全一样
这时我第一个脱壳作品